Чужой среди своих

Первыми потребителями киберстрахования в Европе были банки. В России этот продукт сначала заинтересовал представителей сервисных индустрий (коммуникационные агентства, например) — договоры с международными заказчиками накладывали определенные обязательства. Банковский сектор в России по-прежнему не часто прибегает к этому виду страхования, несмотря на уже очевидные риски. На сегодняшний день каждая третья хакерская атака в РФ приходится на кредитно-финансовую сферу. За последние два года некоторые из киберрисков успели оформиться в полноценный продукт — программы-вымогатели. Их создатели предлагают заинтересованным лицам (сотрудникам интересующей компании) соглашения о разделении доходов по «партнерским программам». Другими словами, хакеры предлагают войти с ними в долю в обмен на помощь в активации вредоносной программы. И низкое проникновение киберстрахования играет им на руку.

Проблемы регулирования 

Из-за недостаточной информированности в России создается ощущение, что на самом деле вероятность возникновения киберпреступлений невелика, но по факту ситуация прямо противоположная. Это ложное ощущение возникает, во-первых, из-за отсутствия законодательных требований уведомлять третьи лица в случае раскрытия конфиденциальной информации и реагировать на инцидент.

Вторая причина — низкие по сравнению с большинством стран штрафы за разглашение персональных данных и конфиденциальной информации. Например, в Европе, согласно общему регламенту по защите данных GDPR (General Data Protection Regulation), размер штрафа для компании за нарушение правил конфиденциальности или утечку персональных данных может достигать 20 млн евро, или 4% выручки (по всему миру за предшествующий финансовый год). В России же максимальный штраф составляет всего 75 тысяч рублей.

Классификация угроз 

Для того чтобы правильно оценивать возможные риски, необходимо уметь прогнозировать и моделировать результаты и последствия кибератак. А именно понимать, откуда угроза может прийти и какими могут быть последствия кибернападения. Предупрежден — значит вооружен.

Виды кибератак

Самыми опасными с точки зрения нанесенного ущерба являются первые три вида кибератак, так как размер ущерба от них настолько велик, что компания может оказаться на грани банкротства или потратить огромные суммы на восстановление системы и репутации.

Комплексная защита 

На российском рынке наибольшей популярностью среди тех, кто все же заботится о своей кибербезопасности, пользуется комплексный пакет страхования киберрисков. Это специальная программа страхования, которая обеспечивает информационную защиту данных предприятии от последствий их утечки или незаконного использования.

Размер страхового возмещения определяется в каждом случае индивидуально и зависит от понесенных компанией расходов и потерь, а также лимитов, указанных в полисе. Например, расходы на восстановление ПО и техники являются наиболее простыми с точки зрения оценки. А вот убытки от вынужденного простоя и невыполнения контрактов нуждаются в более сложной оценке, основанной на построении модели бизнеса на период простоя с учетом множества факторов, которые влияли бы на бизнес в отсутствие киберинцидента. И для их оценки работают целые группы дипломированных бухгалтеров-криминалистов.

С каждым годом киберугрозы развиваются, и не всегда средства защиты и противодействия успевают за ними. В этих условиях важно не только помнить о необходимости застраховать себя, но и о важности комплексного подхода к борьбе с этой угрозой. Компании должны вводить практики по обучению персонала и просвещению сотрудников на предмет кибербезопасности, а также иметь в компании квалифицированных сотрудников по информационной безопасности. Игнорировать киберриски больше не получится, но ими можно управлять. Начать стоит с подробного и профессионального освещения ситуации и вывода проблемы киберрисков из информационного вакуума.